CYBER NEWS

CVE-2019-0859 Zero-Day: Hvordan har den Udnytte Arbejdet i det vilde?

CVE-2019-0859 er et zero-day sårbarhed, som var en del af denne måneds Patch tirsdag. Sårbarheden blev opdaget af Kaskersky Labs forskere, der netop frigivet detaljeret teknisk resume af problemet.




I marts 2019, Kasperskys Exploit Prevention (EP) systemer opdaget et forsøg på at udnytte en sårbarhed i Microsoft Windows-operativsystemet. Yderligere analyse af denne begivenhed førte til opdagelsen af ​​en zero-day fejl ligger i Win32k.sys. Det var den femte i træk udnyttes Lokal rettighedsforøgelse sårbarhed i Windows opdaget af det samme team i de sidste mange måneder, forskerne sagde.

Relaterede:
April 2019 Patch tirsdag er her, bestående af rettelser til 74 sårbarheder. Bemærk, at to af fejlene (CVE-2019-0803 og CVE-2019-0859 udnyttes.
Microsoft Bugs CVE-2019-0803, CVE-2019-0859 udnyttet i Wild.

CVE-2019-0859 Tekniske Specifikationer

Kort sagt, CVE-2019-0859 er en brug-Efter-Free fejl ligger i systemet funktion, der håndterer dialogvinduer og deres yderligere stilarter. Exploit mønster forskerne stødte på i naturen målrettet 64-bit versioner af operativsystemerne, lige fra Windows 7 til den nyeste builds af Windows 10. Bemærk, at udnyttelse af sårbarheden giver malware at downloade og eksekvere et script skrevet af angriberne. Den værst tænkelige scenario af denne exploit er ved at vinde fuld kontrol over inficerede systemer.

I detaljer, ved udførelse CreateWindowEx sender meddelelsen WM_NCCREATE til vinduet, når det er først oprettet, forskerne forklarede. Ved at bruge SetWindowsHookEx funktionen, er det muligt at indstille en brugerdefineret tilbagekald, der kan håndtere den WM_NCCREATE besked lige før du ringer vinduet procedure.

Endvidere, fejlen er relateret til Funktion ID:

I Win32k.sys alle vinduer er forelagt af tagWND struktur, som har en ”fnid” feltet også kendt som Function-id. Feltet anvendes til at definere klassen af ​​et vindue; alle vinduer er opdelt i klasser såsom ScrollBar, Menu, Desktop og mange andre.

De udnytter forskerne opdaget i naturen var rettet mod 64-bit versioner af Windows (fra Windows 7 til ældre bygger på Windows 10). Fejlen blev gearede ved anvendelse af den velkendte HMValidateHandle teknik brugt til at omgå ASLR.

Efter en vellykket udnyttelse, PowerShell blev henrettet med en Base64 kodet kommando. Det eneste formål med kommandoen var at hente en anden fase script fra https // pastebin.com. Den anden fase PowerShell henrettet den afsluttende tredje fase, der var også en PowerShell script.

Brugere bør installere opdateringen adressering CVE-2019-0859 for at undgå enhver udnyttelse.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...